Embed Size (px)
Citation preview
Utilizando Layer7Para Filter y QoS
Sobre nosotros
Objetivo de esta presentación● Poder detectar y marcar tráfico en base al contenido de
alguno de los paquetes de una conexión.
● Aplicar reglas de Filter.
● Aplicar políticas de QoS.
● En esta presentación se darán ejemplos con sitios web.
Agenda
● Introducción
● Comunicación con un sitio web○ Comunicación DNS○ Comunicación HTTP○ Comunicación HTTPs○ Comunicación QUIC
● Layer7 en acción○ Detección con Layer7○ Ejemplos con Filter y QoS
● Consideraciones especiales○ Compatibilidad con IPv6○ DNS gestionado
Tipo de comunicaciones
IntroducciónAlgunos mitos y verdades:
“Layer7 no funciona con tráfico HTTPs”Cierto, aunque de todos modos algo puede hacerse.
“Layer7 no funciona con servicios de Google”Falso, el problema viene de asociado al protocolo QUIC.
“Layer7 me carga mucho el CPU”Cierto, pero bien configurado podemos evitar el problema.
Comunicación con un sitio Web● Para conocer cómo funcionan estas comunicaciones utilizamos Wireshark:
Comunicación con un sitio Web● Sitio común HTTP/HTTPs
1) Consulta DNS(UDP 53)
2) Conexión HTTP/HTTPs(TCP 80 o TCP 443)
Comunicación con un sitio Web● Sitio de Google Inc. desde Chrome
1) Consulta DNS(UDP 53)
2) Conexión QUIC(UDP 80 o UDP 443)
Comunicación DNS
● Se puede detectar y filtrar esta consulta.
● No es posible realizar QoS.
Comunicación HTTP
● Se puede detectar y filtrar esta consulta.
● Acá si es posible realizar QoS.
Comunicación HTTPs
● HTTPs es encriptado, pero antes de establecerse utiliza ClientHello que tiene un parámetro llamado Server Name.
● Se puede detectar y filtrar esta consulta.
● Acá si es posible realizar QoS.
Comunicación QUIC
● QUIC corre sobre UDP y es encriptado, pero antes de establecerse también utiliza ClientHello que tiene un parámetro llamado Server Name (igual que TLS).
● Se puede detectar y filtrar esta consulta.
● Acá si es posible realizar QoS.
Layer7 en acción
Ejemplo con Filter - Detección con Layer7/ip firewall layer7-protocoladd name=Facebook regexp="^.+(facebook).*\$"
Ejemplo con Filter (HTTP/HTTPs)/ip firewall filteradd comment="Analisis TCP" \chain=forward \protocol=tcp \dst-port=80,443 \connection-bytes=0-100000 \action=jump jump-target=analisis_layer7
Acotar la regla a conexiones TCP 80 y 443.
Conexiones de hasta 100k de transferencia.
Salto a otra cadena.
Ejemplo con Filter (HTTP/HTTPs)/ip firewall filteradd comment="Bloquear Facebook" \chain=analisis_layer7 \protocol=tcp \layer7-protocol=Facebook \action=reject reject-with=tcp-reset
Registro Layer7.
Rechazo instantáneo.
Ejemplo con Filter (QUIC)/ip firewall filteradd comment="Analisis UDP" \chain=forward \protocol=udp \dst-port=80,443 \connection-bytes=0-100000 \action=jump jump-target=analisis_layer7
Acotar la regla a conexiones UDP 80 y 443.
QUIC funciona en UDP.
Salto a otra cadena.
Ejemplo con Filter (QUIC)/ip firewall filteradd comment="Bloquear YouTube" \chain=analisis_layer7 \layer7-protocol=YouTube \action=reject reject-with=icmp-admin-prohibited
Registro Layer7.
Rechazo casi instantáneo.
Ejemplo con Filter (HTTP/HTTPs/QUIC)
Ejemplo con QoS - Detección con Layer7/ip firewall layer7-protocoladd name=YouTube \regexp="^.+(youtube.com|youtu.be|googlevideo.com).*\$"
Ejemplo con QoS/ip firewall mangleadd comment="Marcar conexiones de YouTube" \chain=forward \connection-mark=no-mark \layer7-protocol=YouTube \action=mark-connection \new-connection-mark=mc_youtube \passthrough=yes
Ejemplo con QoS/ip firewall mangleadd comment="Marcar paquetes de YouTube" \chain=forward \connection-mark=mc_youtube \action=mark-packet \new-packet-mark=mc_youtube \passthrough=no
Ejemplo con QoS/queue simpleadd name="No Vas A Ver YouTube, No" \target="" \packet-marks=mc_youtube \max-limit=1k/1k
Consideraciones especiales
Consideraciones especiales● Para QoS por sitio web, de momento esta es la única técnica que
se puede utilizar sobre cierto patrón de tráfico*.
● Para filtrado, esta técnica es poco escalable y es recomendable utilizar un DNS gestionado.
● En IPv6 aún no está disponible el comparador Layer7, pero puede utilizarse el comparador content.
¿Preguntas?Utilizando Layer7 para Filter y QoS
